hacking Ético & seguridad informática para empresas...recomendaciones para las empresas todas...

Hacking Ético & Seguridad Informática para Empresas

Alonso Eduardo Caballero Quezada

Consultor en Hacking Ético, Informática Forense & GNU/Linux

Sitio Web: http://www.ReYDeS.com

e­mail: ReYDeS@gmail.com

Sábado 11 de Junio del 2016

Presentación

Alonso Eduardo Caballero Quezada es EXIN Ethical Hacking Foundation Certificate, LPI Linux Essentials Certificate, Brainbench Certified Network Security (Master), Computer Forensics (U.S.) & Linux Administration (General), IT Masters Certificate of Achievement en Network Security Administrator, Hacking Countermeasures, Cisco CCNA Security, Information Security Incident Handling.

Ha sido Instructor en el OWASP LATAM Tour Lima, Perú del año, y Conferencista en PERUHACK. Cuenta con más de trece años de experiencia en el área y desde hace nueve años labora como Consultor e Instructor Independiente en las áreas de Hacking Ético & Informática Forense. Perteneció por muchos años al grupo internacional de Seguridad RareGaZz y al Grupo Peruano de Seguridad PeruSEC. Ha dictado cursos presenciales y virtuales en Ecuador, España, Bolivia y Perú, presentándose también constantemente en exposiciones enfocadas a Hacking Ético, Informática Forense, GNU/Linux y Software Libre.

@Alonso_ReYDeS www.facebook.com/alonsoreydes

pe.linkedin.com/in/alonsocaballeroquezada/

Hacking Ético

Tradicionalmente el Hacking se refiere a la exploración de la tecnología, intentando conocerla a un nivel muy profundo, para ser capaz de manipularla en hacer algo para lo cual no fue diseñado .

Desafortunadamente, muchas personas piensan en el Hacking en términos más siniestros; romper en sistema de computadoras y cuentas sin permiso de sus propietarios, para hacer dinero ilícitamente o causar daño. Por lo tanto el término “Ético” anula la percepción siniestra del Hacking.

Entonces se puede definir el Hacking Ético como el proceso de utilizar técnicas de ataque por computadora, para encontrar fallas de seguridad con el permiso del propietarios del objetivo. Esto con e propósito de mejorar su seguridad.

* https://en.wikipedia.org/wiki/Hacker_ethic

War Games

Juegos de Guerra (1983) 

* http://www.imdb.com/title/tt0086567/

Seguridad Informática

La seguridad en tecnologías de la información también conocida como Seguridad TI, es el proceso de implementar medidas y sistemas diseñados para proteger seguramente y salvaguardar la información (datos de empresas y personales, conversaciones de voz, imágenes, videos, entre otra información diversa).

Esto se logra utilizando diversas formas de tecnología desarrollada para crear, almacenar, usar e intercambiar tal información contra cualquier acceso no autorizado, uso inadecuado, función incorrecta, modificación, destrucción, o exposición inadecuada, y de este modo preservar su valor, confidencialidad, integridad, disponibilidad, uso previsto y su habilidad para realizar sus funciones críticas permitidas.

* https://en.wikipedia.org/wiki/Computer_security

Net Wars

.

* https://www.sans.org/netwars

¿Todo bien?

427 Millones de Contraseñas Expuestas

Data del año 2013, pero hecho público recientemente. Atribuido al ruso “Peace” (LinkedIn, Tumblr). Contraseñas protegidas con SHA1 (Sin Salt). ¿Reutilizar Contraseñas?

* https://myspace.com/pages/blog

Ingreso dentro del Servidor y Panel de Administración

Wesley Weinberg. Encontró una Ejecución Remota de Código. Facebook amenazó con demanda. ($ 2,500). Acceso a código fuente, certificados SSL y llaves privadas. Acceso a casi todo, incluyendo tus “Selfies”.

* http://www.exfiltrated.com/research­Instagram­RCE.php

37 Millones de Cuentas Afectadas

“The Impact Team”. Información personal, nombres reales, direcciones, fotografías, tarjetas de créditos, conversaciones sexuales explícitas.40 GB de datos sensibles. Teoría: Hecho desde el interior por una mujer.

* http://krebsonsecurity.com/2015/07/online­cheating­site­ashleymadison­hacked/

Venta de 65 Millones de Contraseñas

Data del año 2013. Atribuido a “peace_of_mind”. Nombres de usuario y Contraseñas. Costo aproximado de $ 225 Dólares. El mismo autor está vendiendo datos de Fling, LinkedIn y MySpace.

* https://staff.tumblr.com/post/144263069415/we­recently­learned­that­a­third­party­had

3.8 Millones de Usuarios Comprometidos

Explotó wordpress, acceso shell, puerta trasera. No se admite el incidente. Correos electrónicos, contraseñas cifradas, nombres de usuario, direcciones IP y ubicaciones. Costo aproximado de $ 300 Dólares

* http://www.forbes.com/sites/thomasbrewster/2016/04/14/naughty­america­fappening­hacked­porn­sites/#55bf4ca9294c

Puerta Trasera Secreta en Servidor

Orange Tsai. Puerta trasera para robar credenciales de empleados. No en servidor principal. Versión vulnerable de File Transfer Application (FTA). 3 XSS, 2 Ejecución Remota de Código, 2 Escalamiento de Privilegios. $10K

* http://devco.re/blog/2016/04/21/how­I­hacked­facebook­and­found­someones­backdoor­script­eng­ver/

¿Sigue estando todo bien?

¿Y el Perú?

Dominios gob.pe comprometidos (“Hackeados”).

* http://zone­h.org/archive

Repito; ¿Y el Perú?

* http://busquedas.elperuano.com.pe/normaslegales/aprueban­el­uso­obligatorio­de­la­norma­tecnica­peruana­ntp­resolucion­ministerial­no­004­2016­pcm­1333015­1/

Recomendaciones para las Empresas

● Todas las redes de la empresa deben tener las protecciones adecuadas de seguridad.

● Implementar una política de medios extraíbles.

● Ser agresivo al actualizar y parchar.

● Fortalecer una política efectiva de contraseñas.

● Asegurarse de realizar copias de respaldo regulares.

● Restringir los adjuntos en los mensajes de correo electrónico.

● Implementar procedimientos de respuesta de incidentes en la empresa.

● Educar a los empleados, etc.

Es un esfuerzo de equipo

Preguntas, Comentarios, Sugerencias.

Por favor abstenerse de preguntar si puedo conseguir una contraseña de facebook, whatsapp, etc.

La respuesta es obvia. :­)

?

?

?

??

?

?

?

?

?

Más Contenidos

Videos de 30 Webinars Gratuitos sobre Hacking Ético, Hacking Aplicaciones Web e Informática Forense.

http://www.reydes.com/d/?q=videos

Diapositivas utilizadas en los Webinars Gratuitos.

http://www.reydes.com/d/?q=node/3

Artículos y documentos publicados

http://www.reydes.com/d/?q=node/2

Mi Blog sobre temas de mi interés.

http://www.reydes.com/d/?q=blog/1

¡Muchas Gracias!

Alonso Eduardo Caballero Quezada

Consultor en Hacking Ético, Informática Forense & GNU/Linux

Sitio Web: http://www.ReYDeS.com

e­mail: ReYDeS@gmail.com

Sábado 11 de Junio del 2016